Cet article de la base de connaissances Dell fournit des conseils sur les étapes spécifiques au produit pour configurer les serveurs Secured-core certifiés AQ à un état entièrement activé.

Produits applicables

Les instructions de configuration s’appliquent aux produits de serveur Dell EMC suivants.

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 (« processeurs EPYCTM série 7003 »)
• PowerEdge R7525 (« processeurs EPYCTM série 7003 »)
• PowerEdge C6525 (« processeurs EPYCTM série 7003 »)
• Dell EMC AX-7525 (processeurs EPYCTM série 7003 uniquement)
• Dell EMC AX-750
• Dell EMC AX-650

Définition de paramètres BIOS

Vous trouverez ci-dessous la version minimale du BIOS pour la plateforme spécifique à utiliser pour activer Secure Core. 
Vous pouvez l’obtenir à partir de la page de support Dell .
 

Nom de la plate-forme	Version minimale du BIOS
PowerEdge R750	1.3.8
PowerEdge R750xa	1.3.8
PowerEdge R650	1.3.8
PowerEdge MX750c	1.3.8
PowerEdge C6520	1.3.8
PowerEdge R750xs	1.3.8
PowerEdge R650xs	1.3.8
PowerEdge R450	1.3.8
PowerEdge R550	1.3.8
PowerEdge R6525	2.3.6
PowerEdge R7525	2.3.6
PowerEdge C6525	2.3.6
Dell EMC AX-7525	2.3.6
Dell EMC AX-750	1.3..8
Dell EMC AX-650	1.3.8

 

     
       2. Secure Boot doit être activé
Il doit être défini dans les paramètres du BIOS sous Paramètres du BIOS du système/Sécurité du système.


    3.  Le serveur doit disposer d’un module TPM 2.0 et il doit être activé avec les paramètres requis, comme indiqué ci-dessous.

• La sécurité TPM à doit être définie sur ACTIVÉ dans Paramètres du BIOS du système\Sécurité des systèmes 
• Les autres paramètres doivent être définis dans BIOS Settings\System Security\TPM Advanced Settings.
  • Les options TPM PPI Bypass et TPM PPI Bypass Clear doivent être activées.
  • La sélection de l’algorithme TPM doit être définie sur « SHA 256 »
• Version minimale du firmware du module TPM :
  • TPM 2.0 – 7.2.2.0
  • CTPM 7.51.6405.5136

       4.    La technologie DRTM (Dynamic Trust Trust for Measurement) doit être activée dans le BIOS. Pour les serveurs Intel, DRTM doit être activé en activant les paramètres du BIOS ci-dessous :

• « Protection de l’accès direct à la mémoire » dans Paramètres du BIOS du système\Paramètres du processeur. 
• « Intel(R) TXT » dans System BIOS Settings\System Security.

    Pour les serveurs AMD, DRTM doit être activé en activant les paramètres ci-dessous du BIOS.

• « Direct Memory Access Protection » dans System BIOS Settings\Processor Settings.
• « AMD DRTM » dans System BIOS Settings\System Security

    5.    IOMMU et Virtualization Extension doivent être activés dans le BIOS. Pour le serveur Intel, IOMMU et Virtualization Extension doivent être activés en activant « Virtualization Technology » sous System BIOS Settings \Processor Settings. 


Pour le serveur AMD, IOMMU et Virtualization Extension doivent être activés avec les paramètres du BIOS ci-dessous :

• « Virtualization Technology » dans System BIOS Settings\Processor Settings
• Prise en charge d’IOMMU dans System BIOS Settings\Processor Settings.

      Pour le serveur AMD, sous Paramètres du BIOS du système\Paramètres du processeur, activez le chiffrement de la mémoire sécurisée (SME) et le chiffrement de la mémoire sécurisé transparent (TSME). »

Paramètres OS 

Installation des pilotes propres à la plate-forme 

Pour les serveurs Intel, le pilote du chipset (version : 10.1.18793.8276 et versions ultérieures) doivent être installés. Pour les serveurs AMD, pilote du chipset (version : 2.18.30.202 et versions ultérieures) doit être installé. (Le pilote AMD DRTM fait partie de ce package de pilotes.) Ces pilotes peuvent être téléchargés à partir de https://www.dell.com/support/home/?app=products Entrez>
le nom du modèle du serveur, accédez à la section « Pilote et téléchargements », choisissez Système d’exploitation Windows Server 2022 LTSC et recherchez le pilote du chipset.
Par exemple, pour PowerEdge R650, « Intel Lewisburg C62x Series Chipset Drivers » doit être installé.
                 Pour le système PowerEdge R6525, l’option « AMD SP3 MILAN Series Chipset driver » doit être installée.

Configurer les clés de registre pour VBS, HVCI et System Guard

Exécutez ce qui suit à partir de l’invite de commande :-
reg add « HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard » /v « EnableVirtualizationBasedSecurity » /t REG_DWORD /d 1 /f reg add « HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard » /v « RequirePlatformSecurityFeatures » /t REG_DWORD /d 3 /f reg add « HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard » /v « Locked » /t REG_DWORD /d 0 /f


reg add « HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity » /v « Enabled » /t REG_DWORD /d 1 /f reg add « HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity » /v « Locked » /t REG_DWORD /d 0 /f reg add « HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard » /v « Enabled » /t REG_DWORD /d 1 /f

 

Confirmer l’état du cœur sécurisé 

Pour confirmer que toutes les fonctionnalités du cœur sécurisé sont correctement configurées et en cours d’exécution, procédez comme suit :

TPM 2.0

Exécutez get-tpm dans un PowerShell et confirmez les éléments suivants :

Secure Boot, protection DMA du noyau, VBS, HVCI et System Guard

Lancez msinfo32 à partir de l’invite de commande et confirmez les valeurs suivantes :

• « Secure Boot State » est défini sur « On »
• « Kernel DMA Protection » est défini sur « On »
• « Virtualization-Based Security » est défini sur « Running »
• « Virtualization-Based Security Services Running » contient les valeurs « Hypervisor enforced Code Integrity » et « Secure Launch »

Support

Pour les problèmes matériels et de firmware, contactez le support Dell. Pour les problèmes liés au système d’exploitation et aux logiciels, contactez le support Microsoft